As falhas podem ser exploradas por cibercriminosos para roubar dados, aplicar golpes financeiros e até espionar a navegação dos usuários.
Mais de 90 extensões populares do Google Chrome, utilizadas por milhões de pessoas, foram encontradas com falhas de segurança graves que colocam em risco os dados dos usuários. A descoberta foi feita pela equipe de tecnologia da Symantec — que identificou desde senhas e chaves de API deixadas visíveis no código, até o envio de informações pela internet sem criptografia.
As falhas podem ser exploradas por cibercriminosos para roubar dados, aplicar golpes financeiros, manipular informações e até espionar a navegação dos usuários. Muitas dessas extensões são promovidas como ferramentas de segurança e privacidade.
O primeiro relatório da Symantec mostrou que várias extensões armazenam segredos como tokens e credenciais diretamente no código, algo que facilita o uso indevido por terceiros. As mais populares:
Avast Online Security (7 milhões de usuários) e AVG Online Security (600 mil usuários): expõe chaves do Google Analytics, o que permite a manipulação de dados de acesso ou aumento artificial de tráfego.
Equation – Math Made Digital (5 milhões): revela uma chave do serviço de voz da Microsoft Azure, que pode ser usada indevidamente, gerando prejuízos ao desenvolvedor.
Awesome Screenshot (3 milhões) e Scrolling Screenshot Tool (400 mil): deixam visíveis credenciais da nuvem AWS, o que pode permitir o envio de arquivos maliciosos aos servidores.
Trust Wallet (1 milhão): inclui uma chave de API usada em transações financeiras com criptomoedas — um risco direto aos usuários.
Antidote Connector (1 milhão) e outras extensões com a biblioteca InboxSDK vazam chaves de acesso ao Gmail, o que pode permitir envio de spam ou acesso indevido.
Envio de dados sem criptografia
No segundo relatório, a Symantec destacou algumas das populares extensões que ainda usam HTTP em vez de HTTPS, transmitindo dados sensíveis em texto simples. Isso facilita o trabalho de invasores que usam técnicas de invasão comuns em redes Wi-Fi públicas.
SEMRush Rank (30 mil) e PI Rank: transmitem o site acessado pelo usuário por HTTP, permitindo que terceiros vejam sua navegação.
Browsec VPN (mais de 6 milhões): envia informações a diversos serviços não criptografados.
MSN New Tab (500 mil) e MSN Homepage (10 mil): revelam dados do sistema do usuário, facilitando o rastreamento entre sessões.
DualSafe Password Manager (300 mil): manda informações analíticas via HTTP, sem criptografia.
A Mídia Segura pesquisou por algumas das extensões citadas e analisou que a maioria delas possuem o selo destaque do Google com notas de avaliação acima de 4,4. Algumas desenvolvedoras já corrigiram os problemas após serem notificadas.
